Windows Server 2003: взгляд системного администратора

АЛЕКСЕЙ ДОЛЯ, МИХАИЛ МЕЛЬНИКОВ

Windows Server 2003: взгляд системного администратора

Windows Server 2003 Datacenter разработана для критичных бизнес-приложений, она позволяет решать задачи, требующие масштабируемости и доступности высокого уровня. Например, решения для баз данных, планирования ресурсов на предприятии, высокоскоростной интерактивной обработки транзакций и консолидации серверов. Windows Server 2003 Datacenter Edition поддерживает 32-потоковую мультипроцессорную обработку данных (SMP) и до 64 Гб оперативной памяти (речь идет о 32-разрядной версии, 64-разрядная поддерживает соответственно 128 Гб ОЗУ), а также предоставляет стандартные функции: восьмиузловую кластеризацию и службы балансировки нагрузки.

Windows Server 2003 Web Edition будет применяться для конкретных задач, ориентированных на использование веб-технологий. Эта версия предназначена для разработки и поддержки хостинга веб-приложений, веб-страниц и веб-служб XML. Web Edition разработана для использования в основном в качестве веб-сервера IIS версии 6.0 и предоставляет платформу для успешной разработки и развертывания веб-служб XML, которая использует технологию ASP.NET, являющуюся одной из основных частей .NET Framework. Кстати говоря, предполагается, что Windows Server 2003 Web Edition приобрести в розничной продаже будет нельзя, поскольку она будет распространяться исключительно через официальных партнеров Microsoft.

В свою очередь Windows Server 2003 Standard Edition от Enterprise Edition предоставляемым функционалом во многом схожи, и по рекомендации Microsoft могут использоваться в зависимости от масштаба существующей или предполагаемой информационной структуры компании.

«При разработке Windows Server 2003 мы ставили во главу угла повышение безопасности системы, – заявил Билл Вегте, вице-президент подразделения Windows Server Division корпорации Microsoft. – Безопасность является одной из главных забот пользователей, и новые функции, реализованные в этой версии, значительно облегчают создание защищенных систем. Windows Server 2003 представляет собой надежную безопасную платформу, обогащенную целым рядом новаторских решений».

И действительно, выход операционной системы откладывался (по заявлениям Microsoft для того, чтобы максимально эффективно и качественно пройти этап тестирования нового продукта), ее названия (по сравнению с бэта-версиями) менялись. Ключевой довод разработчиков сводился к повышению безопасности новой ОС. Что ж, будем надеяться, что цели поставленные разработчиками, реализованы.

Возвращаясь к цифрам статистики, можно сделать вывод, что не раз наученные горьким опытом администраторы из принципа не переходят на новую версию Windows. А сама миграция им представляется переездом на Гондурас без денег и запасного белья. Некоторые ждут как минимум двух официальных патчей, которые по идее должны исправить практически все недочеты разработчиков, другие же закрывают глаза на все, и по-прежнему каждый день в меню «Пуск» наблюдают надпись Windows NT 4.0 или Windows 2000.

Рисунок 1. Пример проектирования системы безопасности сервера

Компания Microsoft призывает администраторов переходить на Windows Server 2003, не дожидаясь первого сервис-пака. Тем не менее выход сервис-пака уже официально назначен на декабрь этого года.

Впрочем, стоит заметить, что при недочетах Windows 2000, в новой Windows 2003 таковых (во всяком случае пока) не обнаружено, и после разговора с несколькими администраторами крупных компаний, которые уже успели перейти на Windows Server 2003, складывается впечатление, что система действительно внушает доверие.

Для начала давайте рассмотрим некоторые предпосылки к миграции на новую ОС. В первую очередь это удобство в администрировании сервера: подобно новенькой BMW, «водителю» не нужно прилагать излишних телодвижений для того, чтобы нажать какую-либо кнопку. То же самое и здесь.

Наиболее интересным приложением в новой ОС является мастер управления сервером (см. рисунок), который будет встречать вас каждый раз при включении компьютера, начиная с самого первого запуска системы. Он введен взамен прежнего мастера настройки сервера. С его помощью выполняются базовые операции администратора над сервером, которые раньше требовали значительно больших затрат времени. Одна из главных целей мастера управления сервером – предоставить системным администраторам удобную возможность настраивать сервер для выполнения конкретных задач, например, создания DNS-серверов, контроллера домена, DHCP-серверов и т. д.

Рисунок 2. Мастер управления сервером в действии

Как и всегда, разработчики делают ставку на повышение надежности и производительности нового продукта. С Windows Server 2003 все эти обещания выглядят как нельзя более внушительно. Внесены усовершенствования в такие технологии, как балансировка нагрузки сети, служба Active Directory (об этом ниже), кластеры серверов. Кроме того, интегрирована новая среда – так называемая CLR (Common Language Runtime). Ключевым свойством CLR с точки зрения администратора является возможность обеспечения программной изоляции приложений, исполняемых в общем адресном пространстве. Это осуществляется с помощью безопасного в отношении типов (type safety) доступа ко всем областям памяти при исполнении безопасного управляемого кода. Некоторые компиляторы могут создавать MSIL-код, который не только безопасен в отношении типов, но и поддается простой проверке на безопасность исполнения. Этот процесс называется верификацией и позволяет серверам легко проверять написанные на MSIL пользовательские программы, и запускать только те, которые не будут производить опасных обращений к памяти. Такая независимая верификация важна для действительно масштабируемых серверов, исполняющих пользовательские программы и скрипты.

Весьма интересным и значительным изменениям подвергся и весь процесс управления системой. В Windows Server 2003 повышена надежность и доступность средств управления, введенных ранее в Windows 2000, и усовершенствованы основные функции, такие как инструментарий управления Windows, групповая политика и результирующая политика.

Благодаря службам управления IntelliMirror все приложения, данные и настройки доступны пользователям независимо от точки входа в систему, что, несомненно, повышает производительность. Как и в Windows 2000, установка, удаление и обновление приложений могут выполняться удаленно. В конечном счете адекватно задачам развернутой инфраструктуры эффективное использование всех сервисов предполагает для конечного пользователя наличие гибкой, управляемой системы для работы, исключая необходимость настраивать рабочие места под сервер.

Рисунок 3. Определение пути миграции для сервера при переходе на платформу Windows Server 2003

Миграция – процесс нелегкий и недешевый. Его целесообразность всегда стоит под вопросом. Тем не менее Windows Server 2003 – отличная замена старым NT 4.0 и Windows 2000 Server.

Причин для миграции с прежних серверных версий Windows на Windows Server 2003 много, и для каждого предприятия они могут быть персональными. Кто-то использует в качестве сервера Windows 2000 Server, а кто-то до сих пор базирует свой сервер на основе Windows NT 4.0. Если у вас последний случай, то стоит заметить, что Windows Server 2003 не просто превосходит Windows NT 4.0 по многим параметрам, но и является более надежной ОС. К тому же использование всех возможностей Windows Server 2003 позволит вам значительно повысить не только производительность и надежность сети, но и упростить само ее администрирование. Например, служба Microsoft Active Directory упрощает администрирование крупных и территориально распределенных сетей и дает возможность пользователям быстро находить необходимые данные независимо от размеров сети и количества серверов. Усовершенствования, которые внесены в эту технологию, по заявлениям разработчиков имеют важное стратегическое значение для сетей предприятий любых размеров. В число нововведений и усовершенствований Active Directory входит переименование домена, что позволяет изменять DNS- и NetBIOS-имена уже зарегистрированных доменных имен в составе логической схемы лес (forest) таким образом, что результирующий состав леса остается синтаксически корректным.

Рисунок 4. Влияние обновления доменов на доверительные отношения

Также следует отметить появление в Active Directory поддержки класса inetOrgPerson – теперь администратор может использовать данную возможность для выполнения миграции объектов inetOrgPerson из каталога LDAP в Active Directory при необходимости сравнить содержимое Active Directory с другими каталогами LDAP или создать объекты inetOrgPerson в Active Directory.

Рисунок 5. Преимущества миграции на платформу Windows Server 2003 очевидны, особенно если вы используете Windows NT 4.0

Windows Server 2003 является достойной альтернативой Windows NT 4.0 и побуждает системных администраторов, избавиться от старого ПО и перейти к новому. В качестве основного довода Microsoft приводит аргумент, формулирующийся примерно так: пора выкинуть старое железо под управлением Windows NT 4.0 и заменить его новыми высокопроизводительными кластерами под управлением Windows Server 2003 – это позволит упростить топологию сети предприятия, повысить производительность и масштабируемость, а также облегчить администрирование сети в общем.

Ну и самое заметное усовершенствование в Active Directory, конечно же, повышение общей производительности. В Windows Server 2003 организовано более эффективное управление репликацией и синхронизацией содержимого Active Directory. Благодаря этому администраторам будет легче контролировать типы данных, подлежащих репликации и синхронизации между контроллерами одного или нескольких доменов. Кроме того, Active Directory предлагает больше возможностей в плане интеллектуального отбора данных, подлежащих репликации. Например, можно выбирать только изменившиеся данные, исключая необходимость обновлять полностью весь каталог.

Нельзя не рассказать и о новшествах в плане Internet Information Server (IIS), который теперь наделен порядковым номером 6.0.

Теперь IIS предоставляет ряд новых функций и усовершенствований, среди которых новые программные средства, функции безопасности, новая архитектура обработки запросов и новые функции обеспечения быстродействия и масштабируемости.

Функция отслеживания состояния системы (WAP), интегрированная в IIS 6.0, поможет вам следить за состоянием рабочих процессов посредством периодической проверки связи с ними. Естественно, цель подобных «процедур» состоит в выявлении блокировки того или иного процесса. Если какой-либо процесс блокирован, служба WAP закрывает его и взамен запускает другой, идентичный ему процесс.

Привязка к процессорам в IIS 6.0 также играет далеко не последнюю роль. Каждый рабочий процесс можно привязать к отдельному процессору, и при этом попадания в кэш процессора (L1 или L2) происходят чаще.

В плане безопасности в IIS 6.0 введены такие функции, как блокировка сервера, усовершенствование протокола SSL, интеграция так называемого паспорта (Microsoft Passport), авторизация URL и многое другое.

Windows Server 2003 содержит значительное количество поправок и усовершенствований Active Directory, и перечисленные выше нововведения и обновления AD – это всего лишь маленькая доля всего, что появилось нового в этой службе.

При помощи специальных служб сертификации и средств управления сертификатами организации могут создавать собственную инфраструктуру открытых ключей (так называемую Public Key Infrastructure, PKI). Инфраструктура PKI позволяет администраторам внедрять технологии обеспечения безопасности, основанные на стандартах, (например, вход в систему с использованием смарт-карт, проверку подлинности клиентов по протоколам Secure Sockets Layer (SSL) и Transport Layer Security (TLS).

Службы сертификации позволяют администраторам создавать доверенные центры сертификации, отвечающие за выдачу и отзыв сертификатов X.509 V3. Благодаря этому организации могут и не зависеть от коммерческих систем проверки подлинности, даже если такая система интегрирована в инфраструктуру открытых ключей отдельной организации.

Весьма интересной возможностью, которую вы получите при миграции на Windows Server 2003 также является консоль управления групповой политикой, которая была задумана в качестве дополнительного компонента Windows Server 2003. С ее помощью администратор может использовать групповую политику для настройки параметров и определения действий пользователей и компьютеров. В отличие от локальной, групповую политику можно использовать для настройки правил, применяемых на заданном узле, в домене или же подразделении Active Directory.

В ближайшее время Microsoft предложит пользователям несколько дополнительных программных модулей для обеспечения безопасности. Одним из них является Secure Configuration Wizard (мастер создания защищенных конфигураций) – дополнительный модуль для Windows Server 2003, помогающий автоматизировать настройку серверов с целью обеспечения максимальной безопасности (с использованием функциональных ролей).

Кроме того, Microsoft расширит спектр предлагаемых шаблонов и рекомендаций (Patterns and Practices), добавив к ним практические рекомендации по таким вопросам, как инфраструктура идентификации и инфраструктура мобильного доступа, что поможет пользователям создавать и эксплуатировать защищенные системы на основе Windows Server 2003.

Windows Server 2003 обладает рядом новых и усовершенствованных функций для создания защищенных серверных конфигураций на платформе Windows. Благодаря этим нововведениям заказчикам будет легче создавать безопасные конфигурации и управлять ими. В частности, можно будет безопасно предоставлять доступ в корпоративную сеть конечным пользователям, а также своим партнерам, поставщикам и клиентам. Ниже перечислены некоторые функции, обеспечивающие повышенную безопасность Windows Server 2003.

• Значительно переработанные службы инфраструктуры открытых ключей (PKI) обеспечивают пользователей простой системой управления сертификатами, повышающей безопасность основанных на IPSec виртуальных частных сетей (VPN) и сетевых коммуникаций, систем аутентификации, использующих беспроводные протоколы семейства 802.1x, процессов входа в систему с использованием микропроцессорных карточек, шифрующей файловой системы и других служб.
• Открытый защищенный протокол аутентификации (Protected Extensible Authentication Protocol – PEAP) предлагает средства парольной аутентификации, призванные повысить безопасность сетевых соединений. PEAP идеально подходит пользователям, которым необходима возможность использования беспроводной связи, но которые не обладают ресурсами, необходимыми для построения полноценной инфраструктуры открытых ключей.
• Диспетчер авторизации (Authorization Manager) обеспечивает возможность авторизации на основе принципа прикладных ролей, упрощая системным администраторам управление доступом конечных пользователей к веб-службам.

«А стоит ли надеяться на непроверенную надежность, в то время как уже полюбившаяся и настроенная «под ключ» система работает без сбоев несколько лет и никаких сюрпризов не преподносит?», – спросит рядовой администратор сети, не желающий иметь лишние проблемы. Вопрос, конечно, риторический, и для каждого на него найдется свой ответ. Но все же, если вы как администратор гонитесь за стабильностью, быстродействием и крайне высокой надежностью, а главное – исключительно личным комфортом, то переход на Windows Server 2003 может стать праздником.

Все же обойдемся без иронии. Презентация системы, прошедшая несколько месяцев назад по всем крупным городам России, прошла более чем скромно. Обусловлено это было тем, что само слово «Server» уже предусматривает небольшой круг потенциально заинтересованных лиц и не требует такой глобальной рекламы, какая, например, была перед выходом Windows XP осенью 2001 года.

Также не стоит строить иллюзий на предмет новой серверной ОС от Microsoft. Было бы глупо отрицать, что сами разработчики не предполагают выпуск как минимум двух-трех патчей, которые должны «залатать дыры», непредусмотренные программистами как по части безопасности, так и по части просто стабильной работы системы.

Все же есть несколько весьма впечатляющих доводов в пользу Windows Server 2003, если сравнивать ее с Windows 2000. Сразу отметим, что производительность системы в общем плане повысилась на 10-15%. Скорость загрузки системы возросла на 20-30%. Количество ошибок стало значительно ниже, однако все же вызывают некоторые трудности небольшие программы, к которым мы так привыкли. Например, ICQ в некоторых случаях (опять же определить трудно, в каких именно) подключается к серверу Mirabilis только в режиме администратора. Пользователи же подключиться к ICQ не могут. Эта проблема может решиться обеспечением сетевого доступа к папке, где хранится сама программа для всех пользователей. Но все же не факт, что это поможет.

И такие проблемы встречаются далеко не с одной ICQ. Приводить полный список в виде «программа – ошибка» смысла не имеет.

По части игр, дорогие администраторы, тоже стоит заметить, что играть по сети в Quake в рабочее время не получится – подобные игры теперь просто не работают под управлением Windows 2003. Правда, после брожений по сетевым форумам, где «лучшие умы российской кибернетики» пытаются «научить» Windows запускать любимые игры, стало понятно, что Windows 2003 – операционная система не обязательно серверная, но и домашняя. Во всяком случае при желании она может стать таковой.